[发明专利]一种基于预警信息的漏洞自动化防护方法及系统

说明书

本发明公开了一种基于预警信息的漏洞自动化防护方法及系统，以Web应用正常行为的调用分析和实时调用拦截作为解决问题的突破口，以漏洞预警公告作为出发点：通过正常行为调用分析确定漏洞的影响范围，避免影响其他业务的运转；通过实时调用拦截对可能存在攻击行为的函数调用进行参数检查，通过参数记录来判定异常行为；通过爬取安全网站的漏洞预警公告，从中提取出关键缺陷信息，准确定位漏洞影响文件与函数并自动进行漏洞响应和自动防护。本发明能够根据漏洞预警信息自动对Web应用的漏洞实施应急响应措施，以较低的性能损耗及时阻止漏洞攻击，解决了人工进行漏洞响应速度慢、存在漏报误报的问题，并且能够应对未知攻击，具备一定的可用性。

技术领域

本发明涉及计算机网络安全技术领域，具体涉及一种基于预警信息的漏洞自动化防护方法及系统。

背景技术

随着互联网的迅猛发展，Web应用在各行各业中发挥着越来越重要的作用。然而，网络安全事件层出不穷，针对各类网站的攻击愈演愈烈。虽然各大安全厂商推出了相应的防护系统，但这些防护系统对于未知的漏洞利用攻击几乎没有防护能力，在漏洞预警后依然能看到很多企业和政府单位受到漏洞波及。同时，从漏洞披露到补丁发布，再到系统完全修复漏洞有一定的周期，时间从数天到数月不等。安全漏洞是不可避免的，每天都会有新的漏洞被披露，每天都会有漏洞预警公告。一般情况下只能依赖于安全工程师的人工分析，将漏洞攻击的特征抽象为规则应用到防火墙中，而临时的规则可能与实际业务产生冲突。

现有的研究中对漏洞预警和漏洞公告的处理都是交由运维部门人工分析，再由安全工程师针对漏洞制定相应的防护策略，应急响应的研究主要集中在系统已经发生了实际的入侵事件，而这一过程往往存在滞后性，导致攻击者先于安全工程师加固系统之前进行漏洞利用。

本申请发明人在实施本发明的过程中，发现现有技术的方法，至少存在如下技术问题：

现有的漏洞响应方式根据场景的不同可以分为如下三种：1、漏洞和补丁均已公布：可以直接给系统打补丁，不需要更改防火墙配置，但是无法在第一时间做出响应；2、漏洞公布、补丁未知：这种情况一般由安全工程师进行人工分析，将漏洞攻击的特征抽象为规则应用到防火墙中，而临时的规则可能与实际业务产生冲突，并且响应速度慢；3、漏洞未知：目前防范未知漏洞攻击一般采用对系统进行大规模监测的方法，及时发现异常攻击行为并阻断，但这种方式对系统性能损耗太大，存在漏报和误报，实用性不高。

由此可知，现有技术中的方法主要存在响应速度慢和性能损耗大的技术问题。

发明内容

有鉴于此，本发明提供了一种基于预警信息的漏洞自动化防护方法及系统，用以解决或者至少部分解决现有技术中的方法存在响应速度慢、性能损耗大的技术问题。

为了解决上述技术问题，本发明第一方面提供了一种基于预警信息的漏洞自动化防护方法，包括：

遍历预设安全公告页面，当发现漏洞预警后，从预警通告中提取出关键信息,其中，提取出关键信息包括漏洞类型、漏洞名称、存在缺陷的文件名、函数名、受影响的Web应用名称以及版本号；

根据受影响的Web应用名称以及版本号、存在缺陷的文件名和函数名，找出所有受影响的URL请求，并发送消息通知普通服务器节点对缺陷文件的所有调用进行拦截；

根据预先配置的策略决定直接对有缺陷的文件名对应的文件调用进行拦截还是对参数进行检查；

当进行参数检查时，根据漏洞类型、漏洞名称、存在缺陷的文件名、函数名，判断受影响的URL请求是否为异常请求，得到判定结果；

根据判定结果确定是否进行自动防护。

在一种实施方式中，根据漏洞类型、漏洞名称、存在缺陷的文件名、函数名，判断受影响的URL请求是否为异常请求，包括：